Der quelloffene Passwort-Manager KeePassXC ist in Version 2.7.12 erschienen. Das Release behebt mehrere Sicherheitsprobleme, allen voran einen Schutz gegen DLL-Injection-Angriffe unter Windows. Außerdem bringt es funktionale Erweiterungen, darunter TOTP-Unterstützung in Auto-Type und verschachtelte Ordner beim Bitwarden-Import.

Wie die Entwickler in ihrem Release-Blog mitteilen, enthält die neue Version Mitigationen gegen Exploits über manipulierte OpenSSL-Konfigurationsdateien auf Windows. Bei einer DLL-Injection schleusen Angreifer bösartige Dynamic Link Libraries in den Adressraum eines laufenden Prozesses ein, um beliebigen Code auszuführen oder Rechte zu erhöhen. KeePassXC 2.7.12 verhindert nun, dass OpenSSL-Konfigurationen als Angriffsvektor für solche Injektionen missbraucht werden.

Passkey-Flags ändern sich – Vorsicht beim Update

Eine potenziell aufwendige Änderung betrifft Passkeys: KeePassXC speichert jetzt die Flags Backup Eligibility (BE) und Backup State (BS) mit jedem Eintrag. Das BE-Flag zeigt an, ob ein Passkey als Multi-Device-Credential gesichert und synchronisiert werden kann, das BS-Flag markiert den aktuellen Sicherungsstatus. Bisher waren beide Werte fest auf false gesetzt, ab Version 2.7.12 stehen sie standardmäßig auf true. Die Entwickler warnen ausdrücklich: „Dies könnte bestehende Passkeys brechen, für die die Flags nicht gespeichert wurden, da die Werte als unveränderlich gelten.“

Wer nach dem Update Probleme mit bestehenden Passkeys feststellt, kann den vorherigen Zustand wiederherstellen, indem er unter „Advanced“ zwei String-Attribute manuell hinzufügt: KPEX_PASSKEY_FLAG_BE=0 und KPEX_PASSKEY_FLAG_BS=0. Zusätzlich wird nun der publicKey in die Register-Response für Passkeys aufgenommen.

TOTP-Platzhalter und verbesserter Browser-Dialog

KeePassXC 2.7.12 unterstützt jetzt {TIMEOTP} als Platzhalter in Auto-Type-Sequenzen und als Entry-Platzhalter. TOTP (Time-based One-Time Password) ist ein RFC 6238 spezifizierter Algorithmus, der aus einem gemeinsamen geheimen Schlüssel und der aktuellen Systemzeit zeitbasierte Einmalpasswörter generiert – typischerweise alle 30 Sekunden. Nutzer können damit automatisch den aktuellen TOTP-Code in Login-Formulare einfügen lassen, ohne ihn händisch aus einer Authenticator-App ablesen zu müssen.

Im Browser-Zugriffsdialog zeigt KeePassXC nun die abgeglichenen URLs in einem Tooltip an. So lässt sich leichter verifizieren, welche Websites tatsächlich Zugriff auf gespeicherte Zugangsdaten anfordern. Außerdem validiert die neue Version die Haupt-Entry-URL bei der Verwendung von Platzhaltern und speichert browserbezogene Werte korrekt in den customData-Feldern.

Bitwarden-Import mit verschachtelten Ordnern

Wer von Bitwarden zu KeePassXC migriert, kann mit der neuen Version auch verschachtelte Ordner übernehmen. Bitwarden nutzt einen Schrägstrich als Trennzeichen für hierarchische Ordnerstrukturen, etwa „Socials/Forums“. KeePassXC 2.7.12 bildet diese Hierarchie beim Import korrekt ab, sodass die Vault-Struktur erhalten bleibt.

Weitere Bugfixes

Unter Linux haben die Entwickler eine Änderung rückgängig gemacht, die eine Race-Condition in der Auto-Type-Funktion verursachte. Darüber hinaus behebt das Release diverse kleinere Probleme: Die Anzeige des Kontrollkästchen-Werts in den Browser-Integrations-Einstellungen stimmt jetzt, Font- und Theme-Darstellung wurden korrigiert, der „Entfernen“-Button in den Plugin-Daten funktioniert wieder ordnungsgemäß, und Dateinamen werden vor dem Speichern von Anhängen bereinigt.

KeePassXC 2.7.12 steht für Windows, Linux und macOS auf der Projektseite zum Download bereit.

Siehe auch:

• KeePassXC: Download schnell und sicher von heise.de

(fo)

Das Europaparlament hat mit deutlicher Mehrheit für die Verlängerung der freiwilligen Chatkontrolle gestimmt – möchte diese aber deutlich einschränken. Nach einer überraschenden Ablehnung zuvor im Justiz-Ausschuss hatten sich die Fraktionen von EVP, S&D sowie Renew im Vorfeld auf gemeinsame Änderungsanträge geeinigt.

Bei der freiwilligen Chatkontrolle 1.0 handelt es sich um eine Ausnahmeregelung. Eigentlich verbietet die Datenschutzrichtlinie für elektronische Kommunikation das Überwachen von Nachrichten ohne Einwilligung der betroffenen Nutzer. Seit 2021 erlaubt aber eine vorübergehende Ausnahme Anbietern eine freiwillige Chatkontrolle. Kommission und Rat wollten sie ein zweites Mal verlängern – das Parlament hat dem nun zugestimmt. Die Ausnahmeregelung wäre sonst am 3. April ausgelaufen, nun ist sie bis 3. August 2027 verlängert.

Neu ist allerdings eine Einschränkung, die das Parlament fordert: In Amendment 5, das vom Parlament mit Mehrheit beschlossen wurde, heißt es, dass das Scannen nur „gezielt, spezifiziert und beschränkt“ auf einzelne Nutzer:innen oder eine bestimmte Gruppe von Nutzern stattfinden dürfe, wenn es einen „begründeten Verdacht“ auf eine Verbindung zu Material über sexuellen Kindesmissbrauch gibt und dieser von der zuständigen Justizbehörde identifiziert worden sei. Durch die Einschränkung wäre ein massenhaftes anlassloses Scannen wie bisher bei der freiwilligen Chatkontrolle nicht mehr möglich.

„Standhaft geblieben“

Die freiwillige Chatkontrolle stand seit Anbeginn in der Kritik, weil es sich um eine Form der Massenüberwachung handelt – auch wenn verschlüsselte Kommunikationen davon ausgeschlossen sind. Zuletzt kritisierte der Europäische Datenschutzbeauftragte das „wahllose Scannen“. Die EU-Kommission selbst konnte in ihren Evaluationsberichten nie die Verhältnismäßigkeit der Maßnahme nachweisen. Nun hat sich das EU-Parlament entschieden, die freiwillige Überwachung auf Verdachtsfälle zu begrenzen.

Bei Digitalorganisationen und Datenschützern löste das Ergebnis Freude aus. Konstantin Macher von der Digitalen Gesellschaft kommentiert gegenüber netzpolitik.org: „Der lautstarke Protest der Zivilgesellschaft hat Wirkung gezeigt. Das Europäische Parlament ist standhaft geblieben und hat das Scannen auf konkrete Verdachtsfälle begrenzt. Das ist eine gute Nachricht.“

Ralf Bendrath, Fraktionsreferent für Grundrechte bei den Grünen im EU-Parlament, spricht auf Mastodon von einem „großen Sieg für den digitalen Datenschutz“. Das sei keine Massenüberwachung mehr. „Jetzt werden die Verhandlungen mit den Mitgliedstaaten interessant. Sie sollen bereits morgen früh beginnen“, so Bendraht weiter.

Die neue Position des Parlaments steht den Plänen der EU-Kommission und vermutlich auch des Ministerrats entgegen.

Wie geht es weiter mit der Chatkontrolle?

Trilog über Chatkontrolle 2.0 läuft

Gleichzeitig verhandeln die EU-Gesetzgeber im Trilog über die CSA-Verordnung. Dieses geplante Gesetz ist ungleich wichtiger: Es wird dauerhaft gelten, es könnte Anbieter auch gegen ihren Willen verpflichten, eine Chatkontrolle 2.0 durchzuführen, und es könnte auch verschlüsselte Kommunikation betreffen.

Über diese Form der verpflichtenden Chatkontrolle haben wir in den letzten vier Jahren sehr viel berichtet. Während die EU-Kommission eine verpflichtende Chatkontrolle auch für verschlüsselte Kommunikationen einführen will, haben sich sowohl das Europaparlament als auch der EU-Ministerrat in ihren Verhandlungen nicht darauf geeinigt. Die Trilog-Verhandlungen sind nun entscheidend dafür, ob diese umfassende und gefährliche Überwachungsmaßnahme abgewendet werden kann. Neben der Chatkontrolle 2.0 gibt es weitere mögliche Grundrechtseingriffe durch die CSA-Verordnung.

Fortinet nennt es zwar nicht Patchday, verteilt aber parallel zu dem Patchday-Datum mehrere Sicherheitsupdates für diverse Produkte. Hochriskante Lücken finden sich etwa in FortiWeb, FortiManager und FortiClientLinux. Angreifer können Befehle einschleusen oder Brute-Force-Angriffe auf Zugänge starten.

Die gravierendste Sicherheitslücke betrifft FortiClientLinux. Aufgrund einer Link-Verfolgungs-Schwachstelle können lokale User ohne weitreichende Rechte ihre Berechtigungen auf root ausweiten (CVE-2026-24018, CVSS 7.4, Risiko „hoch“). Unzureichende Prüfung der Interaktionsfrequenz ermöglicht nicht authentifizierten Angreifern, das Authentifizierungs-Rate-Limit von FortiWeb mit manipulierten Anfragen auszuhebeln (CVE-2026-24017, CVSS 7.3, Risiko „hoch“). Die Versionen FortiWeb 7.0.12, 7.2.12, 7.4.11, 7.6.6 und 8.0.3 oder jeweils jüngere korrigieren den Fehler. Im fgtupdates-Dienst von FortiManager kann beim Verarbeiten von manipulierten Anfragen an den Dienst durch nicht angemeldete Angreifer aus dem Netz ein Stack-basierter Pufferüberlauf auftreten, in dessen Folge sich Befehle einschleusen und ausführen lassen (CVE-2025-54820, CVSS 7.0, Risiko „hoch“). FortiManager 7.2.11 und 7.4.3 sowie neuere bessern die Schwachstelle aus; wer noch auf Stand 6.4 ist, muss auf neuere Fassungen aktualisieren. Sofern der fgtupdates-Dienst aktiviert ist, hilft alternativ auch einfach das Abschalten.

Fortinet listet noch 15 weitere Sicherheitslücken auf:

• MFA Bypass in GUI, FortiAnalyzer (+Cloud), FortiManager (+Cloud) (CVE-2026-22572, CVSS 6.8, Risiko „mittel“)
• OS Command injection in FortiWeb API, FortiWeb (CVE-2025-66178, CVSS 6.7, Risiko „mittel“)
• Format string vulnerability in fazsvcd, FortiAnalyzer (+Cloud), FortiManager (+Cloud) (CVE-2025-68648, CVSS 6.5, Risiko „mittel“)
• Privilege escalation using undocumented CLI command, FortiAnalyzer (+Cloud), FortiManager (+Cloud) (CVE-2025-48418, CVSS 6.4, Risiko „mittel“)
• Lack of TLS Certificate Validation during initial SSO Authentication, FortiAnalyzer, FortiManager (CVE-2025-68482, CVSS 6.3, Risiko „mittel“)
• Arbitrary file deletion in administrative interface, FortiDeceptor (CVE-2026-25689, CVSS 6.0, Risiko „mittel“)
• Stack buffer overflow in API, FortiWeb (CVE-2026-30897, CVSS 5.9, Risiko „mittel“)
• Stack-based Buffer Overflow in API protection, FortiWeb (CVE-2026-24640, CVSS 5.9, Risiko „mittel“)
• SQL injection in jsonrpc api, FortiAnalyzer(+BigData) (CVE-2025-49784, CVSS 5.6, Risiko „mittel“)
• Protected hostname bypass, FortiWeb (CVE-2025-48840, CVSS 5.0, Risiko „mittel“)
• XSS in LDAP server option, FortiSandbox (CVE-2025-53608, CVSS 4.6, Risiko „mittel“)
• Reflected Cross Site Scripting (XSS) in error page, FortiSIEM (CVE-2026-25972, CVSS 4.1, Risiko „mittel“)
• Insecure Exposure of Plaintext Passwords in Debug Logs, FortiMail, FortiRecorder, FortiVoice (CVE-2025-55717, CVSS 3.8, Risiko „niedrig“)
• Authentication Lockout Bypass via Race Condition, FortiAnalyzer (+Cloud), FortiManager (+Cloud) (CVE-2026-22629, CVSS 3.4, Risiko „niedrig“)
• Null Pointer Dereference in Anti-Defacement feature, FortiWeb (CVE-2026-24641, CVSS 2.5, Risiko „niedrig“)

FortiGate-Firewall-Einbrüche führen zu kompromittierten ADs

SentinelOne hat derweil Analyse-Ergebnisse zu FortiGate-Firewall-Einbrüchen veröffentlicht. Die IT-Forscher bemängeln darin zunächst, dass als wiederkehrendes Muster betroffene Organisationen nicht genügend mitprotokollieren, was die Untersuchungen zu Zeitpunkt und genutzter Schwachstellen zum Eindringen verhindert. Der Zeitraum zwischen Einbruch in die Firewall und Kompromittierung weiterer Geräte rangierte zwischen nahezu umgehend und zwei Monaten. Die Analysten erläutern unter anderem, wie Angreifer Gerätekonfigurationen ausforschen und etwa eigene Admin-Konten anlegen, mit denen sie sich persistenten Zugriff sichern. Vor der weiteren Verbreitung im Netz gab es lediglich zwischendurch Logins zum Prüfen, ob der Zugriff noch besteht. SentinelOne sieht darin typisches Verhalten von Initial-Access-Brokern, die geknackte Zugänge an Dritte verkaufen. Diese haben dann Maschinen ins AD verfrachtet und sich darüber weiteren Zugriff auf das Netzwerk verschaffen wollen. Die Scans lösten dann jedoch Sicherheitsalarme aus.

In einem anderen Fall haben die Angreifer ebenfalls einen lokalen Admin auf der geknackten FortiGate-Firewall angelegt und AD-Zugangsdaten daraus ausgelesen. Innerhalb der folgenden zehn Minuten haben die Angreifer sich mit dem AD-Admin-Konto in mehrere Server eingeloggt und Remote-Monitoring-und-Management-Tools (RMM) installiert. Bei Pulseway und MeshAgent handelt es sich den Autoren des Berichts zufolge um legitime Admin-Tools, die jedoch häufig von bösartigen Akteuren eingesetzt werden. Die Angreifer installierten dann Malware, die sie von AWS-Cloudspeicher heruntergeladen hatten. Damit haben sie eine Volumenschattenkopie angelegt und daraus einige Daten an die Server der Angreifer übertragen. Diese Vorfälle zeigen, dass die kompromittierte Firewall tatsächlich für tiefgreifende Unterwanderung missbraucht wird.

Wer Fortinet-Produkte einsetzt, sollte die verfügbaren Aktualisierungen also zügig installieren. Die Schwachstellen in den Netzwerkprodukten stehen bei Cyberkriminellen hoch im Kurs und werden immer wieder rasch nach Bekanntwerden angegriffen.

(dmk)